DSGVO am Arbeitsplatz: Datenschutz­verstöße wirksam vermeiden

…hat die EU ein einheitliches Regelwerk für den Umgang mit personenbezogenen Daten geschaffen. Auch am Arbeitsplatz gelten seither klare Anforderungen. Datenschutzverletzungen können zu empfindlichen Bußgeldern und Imageschäden führen. In diesem Beitrag erfahren Sie, welche Pflichten Arbeitgeber und Mitarbeitende haben, wie typische Fehler vermieden werden und welche Schutzmaßnahmen sich bewährt haben.

Datenschutzrechtliche Anforderungen im Arbeitsverhältnis

Arbeitgeber dürfen personenbezogene Daten von Mitarbeitenden nur dann erheben und verarbeiten, wenn eine gesetzliche Grundlage besteht oder eine freiwillige, informierte Einwilligung vorliegt. Die wichtigsten rechtlichen Grundlagen:
§ 26 BDSG erlaubt die Datenverarbeitung, wenn sie für die Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses erforderlich ist.
Eine generelle Überwachung (z. B. durch Video oder Tracking) ist nur zulässig, wenn sie verhältnismäßig ist und nicht in die Rechte der Mitarbeitenden eingreift.

Mitarbeitende haben das Recht auf Auskunft, Berichtigung und Löschung ihrer Daten.
Gesundheitsdaten dürfen nur in Ausnahmefällen verarbeitet werden, z. B. bei arbeitsmedizinischen Untersuchungen.

Bußgelder bei Verstoß: Höhe und Praxisbeispiele

Bei Verstoß gegen die DSGVO drohen Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. In Deutschland wurden bereits mehrere Unternehmen wegen unzureichender technischer und organisatorischer Schutzmaßnahmen sanktioniert.

Praxisbeispiel: Ein Unternehmen speicherte über Jahre sensible Gesundheitsdaten in unverschlüsselten Excel-Dateien auf einem ungesicherten Netzlaufwerk. Nach einem Hackerangriff wurden die Daten geleakt. Folge: ein Bußgeld von 1,2 Mio. Euro und ein erheblicher Reputationsverlust.

Wann ist ein Datenschutzbeauftragter Pflicht?

Unternehmen müssen laut DSGVO einen Datenschutzbeauftragten benennen, wenn mindestens zehn Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Der oder die Beauftragte überwacht die Einhaltung datenschutzrechtlicher Vorgaben, schult Mitarbeitende und ist Ansprechperson für die Aufsichtsbehörde.

Nutzung von IT-Systemen: Was dürfen Arbeitgeber kontrollieren?
Erlaubt ein Unternehmen die private Nutzung von E-Mail, Internet oder IT-Systemen, gelten diese als Teil der privaten Kommunikation – hier greift das Fernmeldegeheimnis. Eine Überwachung ist dann nur unter strengen Voraussetzungen zulässig.
Wird die private Nutzung untersagt und per Betriebsvereinbarung dokumentiert, kann eine Überwachung im Rahmen der Verhältnismäßigkeit erfolgen, z. B. bei konkretem Verdacht auf Missbrauch. Dabei müssen Interessen der Mitarbeitenden und des Unternehmens sorgfältig abgewogen werden.

Datenschutz bei Beendigung des Arbeitsverhältnisses
Nach Ende des Arbeitsverhältnisses dürfen personenbezogene Daten nur so lange gespeichert werden, wie sie zur Rechtsverfolgung oder aus steuerlichen Gründen erforderlich sind. In der Regel endet die Aufbewahrungspflicht nach drei Jahren (Verjährungsfrist). Eine routinemäßige Löschung ist Teil eines DSGVO-konformen Datenmanagements.

Pflichten für Mitarbeitende im Datenschutz
Mitarbeitende sind verpflichtet, personenbezogene Daten jederzeit vor unbefugtem Zugriff zu schützen. Dazu gehört, den Bildschirm beim Verlassen des Arbeitsplatzes zu sperren, sensible Dokumente so aufzubewahren, dass sie nicht von Dritten eingesehen werden können, sowie einen sicheren Umgang mit USB-Sticks, mobilen Geräten und anderen Datenträgern zu gewährleisten. Außerdem müssen nicht mehr benötigte Unterlagen stets DSGVO-konform entsorgt werden.

Technische und organisatorische Maßnahmen umsetzen
Der Schutz personenbezogener Daten erfordert mehr als nur formale Vorgaben. Entscheidend ist ein wirksames Zusammenspiel technischer und organisatorischer Maßnahmen. Dazu zählen klare Zugriffsbeschränkungen und Rollenverteilungen, der Einsatz von Datenverschlüsselung – etwa bei E-Mails oder mobilen Geräten – sowie die Verwendung sicherer Passwörter in Verbindung mit Zwei-Faktor-Authentifizierung. Ergänzend leisten regelmäßige Schulungen zur Sensibilisierung der Mitarbeitenden einen wichtigen Beitrag, um das Bewusstsein für Datenschutz und Informationssicherheit nachhaltig zu stärken.

Unsere Empfehlung: Layer8 Security Awareness Trainings

Viele Datenschutzverletzungen am Arbeitsplatz geschehen nicht vorsätzlich, sondern aus Unwissenheit. Mit den Layer8 Security Awareness Trainings von Allgeier CyRis sensibilisieren Sie Ihre Belegschaft für den sicheren Umgang mit Daten.

Ihre Vorteile:

• Praxisnahe Schulungen und realistische Szenarien
• DSGVO- und BSI-konforme Inhalte
• Messbare Verbesserung des Sicherheitsbewusstseins
• Kombinierbar mit Social Engineering Tests

Checkliste: DSGVO-konformer Datenschutz am Arbeitsplatz

• Rechtsgrundlage für jede Datenverarbeitung prüfen
• Einwilligungen dokumentieren und aktualisieren
• Technische Schutzmaßnahmen umsetzen (z. B. Verschlüsselung)
• Datenschutzbeauftragten benennen (ab 10 datenverarbeitenden MA)
• Betriebsvereinbarungen zur IT-Nutzung formulieren
• Löschkonzept für Alt-Daten etablieren
• Regelmäßige Schulungen für Mitarbeitende durchführen

Fazit: Datenschutz ist Teamsache

Der DSGVO-konforme Umgang mit personenbezogenen Daten betrifft alle Mitarbeitenden. Arbeitgeber müssen Prozesse und Systeme entsprechend gestalten, Mitarbeitende tragen Verantwortung im Alltag. Mit Awareness-Maßnahmen, klaren Richtlinien und professioneller Unterstützung durch Tools wie Layer8 schaffen Unternehmen eine belastbare Datenschutzkultur.